Wir haben in Projekten schon viele mobile Anwendungen für unsere Kunden entwickelt. Darunter zahlreiche, bei denen eine App auf Serverdaten zugreift. Wir kennen den Weg in den Apple App Store und auch bei Google Play. Doch diesmal war es doch wieder anders und mit ungeahnten Hindernissen.
Wer wissen möchte, wie wichtig eine ERN ist, hier ist die Geschichte dazu.
Das Setup
Das Projekt passte sehr gut in unsere Industrie 4.0-Strategie – wir sollten eine mobile Geschäftsanwendung entwickeln, die Maschinendaten zur Fernüberwachung über einen Server auf eine App transferiert. Der Projektplan berücksichtigte die Besonderheiten einer App-Entwicklung und die Zuarbeiten unseres Auftraggebers waren klar definiert:
- Accounts für den Apple App Store und den Google Play
- Texte für die AGB (terms of use) wurden frühzeitig über die Rechtsabteilung in Auftrag gegeben
- Developer UDIDs zum Testen bei iTunesConnect hinterlegen
- Marketingtexte und Bilder
- Alterseinstufungen und Vertriebsmodell
Wir erstellten noch zahlreiche Variationen an Screenshots für alle Bildschirmgrößen von Apple zur Verfügung und unser Build spuckte das apk und das ipa aus.
Der Freigabeprozess bei Apple dauert erfahrungsgemäß deutlich länger als bei Google, da die App von Apple auf Herz und Nieren geprüft wird. Wir planten etwa 10 Tage Verzögerung ein.
Länderwahl mit Folgen
Als wir nach zahlreichen Tests dann die fast fertige App in den Review-Prozess von Apple geben wollten, waren alle notwendigen Vorarbeiten vorhanden. Die App war bei Google Play inzwischen schon verfügbar.
Die Frage nach eingesetzter Verschlüsselung beantworteten wir wahrheitsgemäß mit Ja, denn die Kommunikation zwischen App und Server läuft selbstverständlich nur über HTTPS. Da die App weltweit verfügbar sein musste, wurden alle Länder gewählt.
Danach sahen wir den netten Hinweis von Apple, doch bitte eine ERN beizufügen, da dies die Bedingungen für den US App Store sind. Eine ERN? Wieso das?
Was ist eine ERN?
Da die App auf jeden Fall in den US App Store musste, kamen wir nicht umhin, uns mit der ERN zu beschäftigen. Die Encryption Registration Number (ERN) bekommt man vom Buereau of Industry and Security (1). Die ERN ermöglicht den legalen Export von Verschlüsselungssoftware in die USA.
Die Internetrecherche ergab viele Hinweise, wann man eine ERN wirklich braucht und wann nicht. Wir haben doch nur HTTPS für die Kommunikation zwischen Server und App genutzt. Die Ausnahmen galten nicht für uns, denn wir verschlüsselten selbstverständlich nicht schwach und auch nicht nur zur Anmeldung.
Also besorgten wir uns einen SNAP-R Account und füllten das Supplement No. 5 to Part 742—Encryption Registration (1) aus. Unsere Antwort auf Punkt 4 und 6 war:
- The product (mobile app) use the standard encryption algorithms or protocols (TLS / HTTPS) of the operating system iOS.
Jetzt begann das Warten.
Eine ERN ist noch lange nicht genug
Es entstand am Ende eine Verzögerung von drei Werktagen. Dann konnten wir den Screenshot der ERN bei Apple hochladen und den Review-Prozess endlich starten.
Einen Tag später erhielten wir eine Mail von Apple. Der entscheidende Satz:
You indicated that you are intending to release in France. In order to release your app in France we will need a copy of the approved French declaration for your app, we require that you take steps to comply with French import regulations.
Klar wollten wir die App auch in den französischen App Store bringen. Der Weg dahin war offensichtlich nicht Online (2) (3) zu bestreiten. Der Kunde stimmte zu, dass wir Frankreich vorerst aus unserer Länderwahl entfernten.
Fazit
Das ganze Thema Verschlüsselung in Apps und die besonderen Regelungen in den USA und Frankreich war uns so nicht bewusst. Wir sind bei unseren Projekten im Kontext Enterprise Moblity – und damit einhergehend der verschlüsselten Kommunikation zwischen App mit Server – um eine Erfahrung reicher. Unsere Checkliste für das nächste Projekt ist erweitert.
Apple war am Ende dann doch sehr schnell mit seinem Review und die App war pünktlich überall auf der Welt verfügbar – außer in Frankreich. Der Antrag ist mittlerweile gestellt, eine Antwort steht noch aus.
Unser Kunde ist dennoch sehr zufrieden mit dem Projekt.
Tassilo Kubitz
Links
(1) https://www.bis.doc.gov/index.php/policy-guidance/encryption/registration
(2) http://www.ssi.gouv.fr/archive/en/regulation/index.html#produits_crypto
Sie schreiben: „Die ERN ermöglicht den legalen Export von Verschlüsselungssoftware in die USA.“
Allerdings beschreibt Apple es andersherum: https://developer.apple.com/library/content/documentation/LanguagesUtilities/Conceptual/iTunesConnect_Guide/Chapters/SubmittingTheApp.html
„All apps distributed through the App Store or Mac App Store must go through the encryption review: All apps are uploaded to an Apple server in the United States, which means that your product is exported from the United States and is captured by U.S. export laws. This requirement applies even if you plan to distribute apps only within your own country.“
Frankreich muss separat betrachtet werden, aber selbst nur für den deutschen App Store wäre es nach meinem Verständnis nötig laut dieses Zitat.
Das trifft auf den rein technischen Part zu.
Die ERN benötigt man zusätzlich für Apps, die in den USA distributed werden. Vermutlich möchte die USA sicherstellen, dass sie die Kommunikation mitlesen kann, wenn sie will. Dabei trifft das nur auf die Kommunikation zu, die innerhalb oder mit den USA geführt wird.
Das ist so nicht korrekt. Es geht um Export-Richtlinien der USA. Die Server von iTunes und Google Play sitzen in den USA. Der Download der App aus dem AUSLAND (nicht USA) wäre also ein Re-export und muss demnach den Exportrichtlinien entsprechen. Selbst während der Ausreise aus den USA ein T-Shirt zu tragen kann folgen haben, wenn auf dem T-Shirt kryptografischer Code steht:
https://en.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States
http://www.cypherspace.org/adam/rsa/uk-shirt.html
https://groups.google.com/forum/#!topic/sci.crypt/y7mZLJ7Ad5M
“Die ERN ermöglicht den legalen Export von Verschlüsselungssoftware in die USA.” => Das muss heißen “aus den USA”.
Bei unseren Veröffentlichungen von Apps im App-Store von Apple mussten wir nicht die ERN angeben oder die Verschlüsselung erklären, wenn die App nicht mit Servern in der USA kommunziert und die App nicht im App-Store der USA landete. Gleiches behält sich ubrigens auch Frankreich vor. Weswegen wir die App nicht in Frankreich distributen konnten, da uns deren Genehmigung fehlte.
So gesehen brauchten wir die ERN nur dafür, dass die App im App-Store der USA landen konnte.
Wie sind denn Ihre Erfahrungen bzgl. Apps, die im App-Store der USA vertreten sind und von Apps die nur in Deutschland verfügbar sind?
Verstehen Sie mich bitte nicht falsch, ich will Ihren Artikel nicht schlecht reden. Im Gegenteil, ich finde die Informationen, die sie zusammengefasst haben richtig gut, ausgenommen diese eine. Im EAR “Part 734 – Scope of the Export Administration Regulations” steht genau was ein Export ist und insbesondere für Software mit Kryptografie gilt § 734.17, worin beschrieben wird, dass der Download von Software außerhalb der USA schon dazu zählt. Auch in den Reexport Definitionen finde ich keinen Ausschluss sondern eher eine Bestätigung. Mich würde mal von rechtlicher Seite interessieren, wo man nachlesen kann, dass Ausland-USA-Ausland Transfers davon ausgeschlossen werden, denn egal wo ich nach weiteren Informationen danach suche, ich werde nicht fündig.
Ist das Verfahren noch aktuelle oder wurde der Prozess veränder?
Der aktuelle Prozess ist etwas unklar. Während bei Apple immer noch angegeben wird, dass man einen Nachweis hochladen muss, ist die Beanragung einer ERN Online wohl nicht mehr auf dem bisherigen Weg möglich. Dazu gibt es bei Apple einen Forum-Thread zu New BIS rules for encryption export, der beschreibt, wie dann zu verfahren sein.
Wir haben diesen Weg allerdings noch nicht bestritten, da wir keine neuen Apps registriert haben, die auch in den USA verfügbar sein mussten.